醫院網絡安全管理規范

　　11月26日，安徽省市場監督管理局批準發布由安徽醫科大學第一附屬醫院牽頭的《醫院網絡安全管理規范》(標準號：DB34/T 4304-2022)，并于當日生效。

　　本標準基于《信息系統安全等級保護》基礎上，對部分執行、檢查的管理規范進行細化，明確了安全運維涵蓋資源運行保障與安全訪問保障。對運維對象分為終端、網絡、數據中心以及動力環境，分別制定了較詳細的安全運維管理要點與規范，尤其明確要求了執行與檢查的相關管理要求，有更明確的操作指導性。本標準適用于二級以上醫院網絡安全運維工作。

　　本標準主要內容包括基本要求、對象、溝通與協同、安全事件處置、應急處理。基本要求中，對機構、人員、經費、規劃、制度上明確了要求，為網絡安全提供資源與管理的保障。將涉及網絡安全的對象根據管理要點不同分為終端、網絡、數據中心、機房環境四大塊，并制定不同的管理要點與規范，主要從配置、資源與感染監控、人工巡檢、備份恢復等維度明確了執行流程、檢查流程的要求。安全事件包括直接或間接影響系統運行、數據泄露的所有事件。安全事件的處置過程中，包括事件本身的操作、記錄、檢查、考核的要求。同時也應該建立通暢的溝通協同機制，在溝通與協同中強調使用人員與維護人員，維護人員之間的協同機制與工具的保障要求。最后標準強調了安全演練的重要性，對安全演練的完整性進行了規范，包括安全演練中要明確目標，明確執行流程、做好相關記錄，以及做好總結要改進。

　　該標準主要聚焦在安全運維的具體執行與檢查流程的管理上，對于各個醫院的具體網絡安全管理工作有比較明確的指導。

　　下一步，將會同安徽省醫院行業協會積極做好相關標準的宣傳培訓和應用推廣工作，持續拓展標準應用廣度和深度。誠摯歡迎各級地方政府、行業組織、軟件企業、信息服務商、科研院校等有關單位積極參與相關標準的測試驗證與應用推廣工作，以標準為引領推動我國醫院信息化的快速發展。

　　來源：安徽省醫院協會信息專委會